Duy Linh
Writer
Tấn công nhằm mục tiêu chính trị chứ không vì lợi nhuận
Gonjeshke Darande, còn gọi là Predatory Sparrow, một nhóm tin tặc bị nghi ngờ do Israel tài trợ, đã thực hiện một cuộc tấn công mạng nghiêm trọng nhắm vào Nobitex – sàn giao dịch tiền điện tử lớn nhất Iran. Cuộc tấn công này đã phá hủy lượng tiền điện tử trị giá khoảng 90 triệu USD (tương đương hơn 2.300 tỷ VNĐ), bằng cách chuyển tài sản vào các ví không hợp lệ có chuỗi ký tự “FuckiRGCTerroristsNoBiTE”.Đây không phải một vụ tấn công để kiếm lời mà mang tính chất tuyên bố chính trị, trực tiếp cáo buộc Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) tài trợ cho khủng bố, đồng thời lên án Nobitex là công cụ giúp chính quyền Iran né tránh các lệnh trừng phạt quốc tế.
Thời điểm xảy ra vụ việc cũng đáng chú ý: ngay sau khi Israel không kích vào các cơ sở quân sự và hạt nhân của Iran ngày 13/6/2025. Điều này cho thấy cuộc tấn công mạng đã được tính toán kỹ lưỡng và nằm trong bối cảnh căng thẳng địa chính trị gia tăng tại khu vực.
Cuộc tấn công thể hiện rõ mức độ tinh vi về mặt kỹ thuật, cho thấy nhóm tin tặc đã có thời gian do thám dài hạn và có quyền truy cập sâu vào hệ thống nội bộ của Nobitex trước khi hành động. Gonjeshke Darande sau đó đã công khai toàn bộ mã nguồn, thông tin bảo mật và cấu trúc triển khai của sàn trên kênh Telegram của họ, bao gồm cả các tập lệnh quản lý ví lạnh – yếu tố cốt lõi của hệ thống bảo mật tiền điện tử.
Rò rỉ dữ liệu và chiến thuật tấn công làm suy yếu lòng tin công chúng
Ngoài mã nguồn, nhóm tin tặc còn tiết lộ ảnh chụp màn hình cấu hình máy chủ và cơ sở hạ tầng nội bộ, cho thấy họ có thể đã khai thác thông tin đăng nhập bị rò rỉ hoặc nhận được hỗ trợ từ người trong cuộc – dù hiện chưa có bằng chứng cụ thể xác minh điều này.Nobitex đã xác nhận có truy cập trái phép vào ví nóng, ngay lập tức cô lập hệ thống bị ảnh hưởng và tạm dừng hoạt động để đảm bảo an toàn cho tài sản trong ví lạnh. Tuy nhiên, tình trạng gián đoạn internet trên toàn quốc đã khiến quá trình phục hồi bị chậm lại, dự kiến mất từ bốn đến năm ngày để khôi phục hoàn toàn.
Mục tiêu của Gonjeshke Darande không chỉ là gây thiệt hại tài chính. Nhóm này đã công bố các địa chỉ ví liên quan tới số tiền bị thiêu hủy kèm theo tuyên bố rằng Nobitex là “công cụ chính của chế độ để tài trợ cho khủng bố”. Hành động này được xem là nhằm hạ thấp lòng tin của công chúng vào các tổ chức tài chính của Iran.
Predatory Sparrow từng thực hiện nhiều vụ tấn công vào cơ sở hạ tầng trọng yếu của Iran như đường sắt, nhà máy thép, và gần đây là Ngân hàng Sepah. Nhóm luôn chọn thời điểm có yếu tố chính trị căng thẳng để tấn công, với mục tiêu phá vỡ các tổ chức bị nghi liên quan đến chương trình hạt nhân và quân sự của Iran cũng như các hoạt động lách lệnh trừng phạt.
Vụ tấn công Nobitex là lời cảnh báo rõ ràng về rủi ro từ các cuộc tấn công mạng có chủ đích, đặc biệt trong bối cảnh tiền điện tử ngày càng trở thành công cụ chiến tranh mạng. Nó cũng nhấn mạnh nguy cơ từ các lỗ hổng nội bộ và truy cập kéo dài không bị phát hiện, nhất là tại các quốc gia có tình hình chính trị bất ổn.
Nếu được xác nhận là do Israel hậu thuẫn, đây sẽ là bước leo thang mới trong chiến tranh mạng ngầm, khi tài sản số bị lợi dụng như một vũ khí nhằm phá hoại và thao túng. Các chuyên gia an ninh mạng cảnh báo rằng những cuộc tấn công tương tự vào hệ thống tài chính Iran nhiều khả năng sẽ tiếp tục xảy ra, và kêu gọi tăng cường biện pháp bảo mật để đối phó với các mối đe dọa tinh vi hơn trong tương lai.
Đọc chi tiết tại đây: https://gbhackers.com/gonjeshke-darande-hackers-pose-as-activists/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
